Deux semaines seulement après la sortie de la mouture 4.7.1 du célèbre CMS WordPress, arrive dans l'urgence la version 4.7.2 qui contient d'importantes mises à jour de sécurité.

WordPress 4.7.2 corrige trois importantes vulnérabilités ainsi que l'explique le billet de blog qui annonce sa disponibilité.

Tout d'abord une faille dans Press This permet à des utilisateurs non autorisés d'accéder à l'interface utilisateur permettant d'assigner des termes de taxonomie.

Ensuite, une vulnérabilité XSS découverte par le développeur Web Ian Dunn permet de modifier le comportement des pages par injection de code JavaScript.

Enfin, s'il faut classer la gravité de ces vulnérabilités, la plus dangereuse est une faille dans la classe WP_QUERY, découverte par le développeur Mo Jangda, qui permet de réaliser des injections SQL. L'équipe de développement de WordPress précise que le coeur du CMS n'est pas vulnérable à ce problème. Cependant ne pas mettre à jour WordPress sous ce prétexte serait une très mauvaise idée. En effet, il est possible que des plugins ou des thèmes activent accidentellement cette vulnérabilité dont la présence aura finalement été oubliée.

Cette dernière vulnérabilité n'est pas apparue avec WordPress 4.7.1. Elle concerne aussi les versions antérieures. Ainsi un webmaster qui serait resté avec un WordPress 4.6.x parce que, par exemple, le PHP du serveur hébergeant son site est dans une version insuffisante pour WordPress 4.7 doit prendre les mesures qui s'imposent.